Malware : publicités NewSaver Ad 2015-02-18T20:46:30+00:00

Dépannage Informatique : Malware : publicités NewSaver Ad

  • Auteur
    Messages
  • PETITESOURIS
    Nombre d'articles : 0

    Bonjour,
    Depuis plusieurs semaines, mon navigateur internet (Google Chrome) est pollué par un malware « NewSaver » qui m’affiche publicités sur publicités. Je ne sais pas exactement quand ce logiciel malveillant s’est installé sur mon ordinateur et je ne sais pas du tout avec quel programme il est venu.

    Afin de l’éliminer de mon ordinateur (PC HP, Windows 8.1), j’ai réalisé dans cet ordre :
    – Un scan complet du système avec mon antivirus (Windows Defender). Résultat : une menace trouvée et supprimée.
    – Un redémarrage
    – Un scan avec Malwarebytes anti-malware. Résultat : 0 malware trouvé.
    – Un scan avec l’outil de suppression de logiciels malveillants de Windows. Résultat : toujours rien.
    – Un rédémarrage.
    – Une réinitialisation de Google Chrome (bien que le logiciel malveillant n’apparaissait même pas dans la liste des extensions). A noter : je n’utilise pas Internet Explorer comme navigateur, mais il y a dans mon Internet Explorer des extensions bizarres de type « bltSaveR » ou « RoboSaveR » ou « {A95FE080-8F5D} ». La réinitialisation d’Internet Explorer ne les enlève pas et si je les supprime manuellement dans ProgramFiles, ils reviennent à chaque fois. Enfin, je ne peux pas désinstaller et reinstaller Internet Explorer.

    Bref, le malware apparaissant comme NewSaver Ad sur internet est toujours là. Je ne sais plus quoi faire…

    Y a-t’il autre chose à faire à part réinstaller mon ordinateur (j’aimerais éviter dans la mesure du possible) ?

    Je vous remercie par avance de votre aide.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    salut

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation, le mieux étant jusqu’au prochain redémarrage.
    • Télécharge AdsFix sur ton bureau.
      Note : Enregistrer votre travail avant de continuer !
    • Lance AdsFix ( clic droit “executer en tant qu’administrateur” pour Vista/7/8/8.1 )
    • Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
    • Inscrit ton pays
    • Clique sur Nettoyer , après l’avoir débloqué dans les options

      Note : Patiente le temps du scan
    • Laisse travailler l’outil même s’il te parait bloqué
    • Si l’outil détecte un proxy que tu ne connais pas clic sur : “Supprimer le proxy
    • Héberge le rapport C:AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

    Aide:

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    Scan effectué avec AdsFix.
    Voici le rapport :
    https://antimalware.top/download/1mi8ico2tqi3tninmec6dnyrvz7adv4ih0x193gc” onclick=”window.open(this.href);return false;

    Merci !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    re

    • désactive ton antivirus le temps du scan
    • Télécharge quickDiag ici : https://www.sosvirus.net/telecharger/quickdiag/” onclick=”window.open(this.href);return false;
    • lance-le

    • clique sur “Quick” puis une fois terminé :
    • heberge le rapport sur https://antimalware.top” onclick=”window.open(this.href);return false;
    • donne le lien obtenu dans ta prochaine réponse

    note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )

  • PETITESOURIS
    Nombre d'articles : 0

    Bonjour,

    Voici le rapport :
    https://antimalware.top/download/k7iksmhklz4k10li64a537p1lro2s81c1knhukcn” onclick=”window.open(this.href);return false;

    J’ai vu dans le précédent rapport (celui de Adsfix) qu’il avait détecté des extensions malveillantes dans Internet Explorer. Pourtant quand je l’ouvre, elles sont toujours là…

    Bonne journée.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    bonsoir , je n’ai jamais dit que ca se règlerait avec un seul outil 🙂

    demain je te ferai un script pour en virer la plupart et nous ferons un scan généraliste.
    là je vais dormir 🙂

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    bonjour oui normalement il aurait du les virer je comprends pas pourquoi il ne l ‘a pas fait ….. tu n’as pas réouvert chrome pendant le scan ?

    ==

    Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
    Télécharge http://oldtimer.geekstogo.com/OTM.exe” onclick=”window.open(this.href);return false; OTM (OldTimer) sur ton Bureau :
    Double-clique sur OTM.exe afin de le lancer. (clic droit “executer en tant qu’administrateur” pour Vista/7/8 )

    Copie (Ctrl+C) le texte suivant ci-dessous :


    :reg
    [HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionRun]
    "iTunesHelper"=-
    [HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    "NoActiveDesktopChanges"=DWORD:0
    "NoActiveDesktop"=DWORD:0
    [HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionPoliciesExplorer]
    "NoActiveDesktopChanges"=DWORD:0
    "NoActiveDesktop"=DWORD:0
    [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile]
    "EnableFirewall"=DWORD:0
    [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile]
    "EnableFirewall"=DWORD:0
    [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile]
    "EnableFirewall"=DWORD:0
    [HKLMSOFTWAREMicrosoftInternet ExplorerSearchScopes]
    "DefaultScope"=""
    [HKLMSoftwareWOW6432NodeMicrosoftInternet ExplorerSearchScopes]
    "DefaultScope"=""
    [HKUS-1-5-21-2291828291-188493080-2616507947-1001SOFTWAREMicrosoftInternet ExplorerToolbar]
    "Locked"=DWORD:0
    [HKUS-1-5-21-2291828291-188493080-2616507947-1001SOFTWAREMicrosoftInternet ExplorerSearchScopes]
    "DefaultScope"=""
    [-HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{3c8a8c7a-6c2f-4724-ba02-eeb5f26d91de}]
    [-HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5a7d7148-cf98-430f-8689-45da9d208f50}]
    [-HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{3c8a8c7a-6c2f-4724-ba02-eeb5f26d91de}]
    [-HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5a7d7148-cf98-430f-8689-45da9d208f50}]
    [-HKLMSoftwareWOW6432Node{12DA0E6F-5543-440C-BAA2-28BF01070AFA}]

    :files
    C:ProgramData{d2a3e516-b842-e104-d2a3-3e516b84945a}
    C:UsersSarahAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupAdobe Photoshop Elements 13 (x32_x64) [Multi] [Patch].lnk
    C:UsersSarahAppDataLocalGoogleChromeUser DataDefaultextensionsapjhdoaiejppfmijnkopdcpjcngdlffj
    C:UsersSarahAppDataLocalGoogleChromeUser DataDefaultextensionsobmidebnclmhcljafaefmfmiclmacejk
    F:autorun.inf
    C:UsersSarahAppDataLocalApps

    :commands
    [emptytemp]

    Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:_OTMMovedFiles

    *Le nom du rapport correspond au moment de sa création : date_heure.log

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    Non, je n’ai absolument pas touché à l’ordinateur pendant les scans. Je le laisse tourner.
    De plus, je n’ai même pas réinstallé Google Chrome. J’attends de nettoyer mon ordinateur avant.
    Pour Internet Explorer, je n’ai pas trouvé comment le réinitialiser ou le réinstaller…

    Voici le lien du dernier scan :
    https://antimalware.top/download/r4j86cuep3be2yyfx16ghp6jr4dw9x5whdhq340y” onclick=”window.open(this.href);return false;

    Petite question :
    Quickdiag ne fait qu’un diagnostic ou il supprime également ce qu’il trouve ?

    Merci et bonne soirée.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    bonsoir non quickdiag ne supprime rien il ne fait qu’un diagnostique pourquoi ???

  • PETITESOURIS
    Nombre d'articles : 0

    Je mets de côté les outils de nettoyage efficaces. A l’avenir, si des malware reviennent, j’aimerais pouvoir me débrouiller au maximum seule.

    Je ne vais pas venir vous embêter à chaque fois 🙂 vous croulez suffisamment sous les messages des gens en détresse 😉

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    bonjour

    il faut finir la désinfection jusqu’au bout
    on ne garde pas les outils de désinfection car ils sont mis à jour tous les jours , demain il y aura certainement des infections que les outils d’oujourd’hui s’ils ne sont pas à jour ne serviront à rien
    on utilise pas les outils de désinfection tout seul , ce ne sont pas des jouets
    chaque infection est diférrente suivant les machines
    ce n’est pas parce que ut as les mêmes symptomes que l’infection est forcement la meme
    il faut savoir lire les rapports pour utiliser les outils de desinfection

  • PETITESOURIS
    Nombre d'articles : 0

    Ok.
    Quelle est la prochaine étape ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    bonsoir 🙂

    des soucis persistent ?

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    Chrome réinstallé… Plus de pub Newsaver ! C’est comme neuf ! Merci !

    Par contre, les extensions bizarres (de type bltSaveR » ou « RoboSaveR) sont toujours présentes dans Internet Explorer, malgré une réinitialisation de ce navigateur…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    coucou

    tu peux faire une capture de cela ?

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    Voici la capture :
    https://antimalware.top/download/vv1rx4jt5f7gzoj5iqinx1asbeb8ff5hr5ptjjxu” onclick=”window.open(this.href);return false;

    Bonne soirée.

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    Voici la capture :
    https://antimalware.top/download/vv1rx4jt5f7gzoj5iqinx1asbeb8ff5hr5ptjjxu” onclick=”window.open(this.href);return false;

    Bonne soirée

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    Voici la capture :
    https://antimalware.top/download/vv1” onclick=”window.open(this.href);return false; … 5hr5ptjjxu

    Bonne soirée

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422
    • Télécharge SEAF (de C_XX) sur ton bureau !
    • Lance SEAF, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche la case “Informations supplémentaires (…)
    • Sélectionne “Chercher également dans le registre
    • Sélectionne MD5

      dans la zone recherche rentre : bltSaveR

    • Une fois le scan terminé rends-toi sur le bureau, un rapport va s’ouvrir, copie/colle son contenu dans ta réponse

    ===========================

    fais de même avec : RoboSaveR

  • PETITESOURIS
    Nombre d'articles : 0

    Bonsoir,

    La page de téléchargement pour Seaf affiche après les 30 secondes d’attente : “Le fichier recommandé n’existe pas! Veuillez informer votre gestionnaire de site!”

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    prends-le ici

    http://telecharger.sosvirus.net/gen-hackman/SEAF.exe” onclick=”window.open(this.href);return false;

  • PETITESOURIS
    Nombre d'articles : 0

    Voici les 2 rapports :

    1. ========================= SEAF 1.0.1.0 – C_XX
    2.
    3. Commencé à: 18:29:06 le 24/02/2015
    4.
    5. Valeur(s) recherchée(s):
    6. bltSaveR
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) — Calcul du Hash “MD5”
    11. (!) — Informations supplémentaires
    12. (!) — Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21. Aucun élément dans le registre trouvé
    22.
    23. =========================
    24.
    25. Fin à: 18:31:12 le 24/02/2015
    26. 469520 Éléments analysés
    27.
    28. =========================
    29. E.O.F

    1. ========================= SEAF 1.0.1.0 – C_XX
    2.
    3. Commencé à: 18:34:21 le 24/02/2015
    4.
    5. Valeur(s) recherchée(s):
    6. RoboSaveR
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) — Calcul du Hash “MD5”
    11. (!) — Informations supplémentaires
    12. (!) — Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21.
    22. [HKLMSoftwareClassesP5a7d7148_cf98_430f_8689_45da9d208f50_.P5a7d7148_cf98_430f_8689_45da9d208f50_]
    23. “”=”RoboSaVeR” (REG_SZ)
    24.
    25. [HKLMSoftwareClassesP5a7d7148_cf98_430f_8689_45da9d208f50_.P5a7d7148_cf98_430f_8689_45da9d208f50_.9]
    26. “”=”RoboSaVeR” (REG_SZ)
    27.
    28. [HKLMSoftwareClassesTypeLib{C7405EEB-2E16-40FE-9E27-1F48CAAB15E1}1.0win32]
    29. “”=”C:Program Files (x86)RoboSaVeRNXcCoeapeaeYCh.tlb” (REG_SZ)
    30.
    31. [HKLMSoftwareClassesWow6432NodeTypeLib{C7405EEB-2E16-40FE-9E27-1F48CAAB15E1}1.0win32]
    32. “”=”C:Program Files (x86)RoboSaVeRNXcCoeapeaeYCh.tlb” (REG_SZ)
    33.
    34. =========================
    35.
    36. Fin à: 18:35:27 le 24/02/2015
    37. 469525 Éléments analysés
    38.
    39. =========================
    40. E.O.F

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    desactive tes protections , lance OTM ( le champignon jaune ^^ )

    colle ca dedans à gauche :

    :reg
    [-HKLMSoftwareClassesP5a7d7148_cf98_430f_8689_45da9d208f50_.P5a7d7148_cf98_430f_8689_45da9d208f50_]
    [-HKLMSoftwareClassesP5a7d7148_cf98_430f_8689_45da9d208f50_.P5a7d7148_cf98_430f_8689_45da9d208f50_.9]
    [-HKLMSoftwareClassesTypeLib{C7405EEB-2E16-40FE-9E27-1F48CAAB15E1}1.0win32]
    [-HKLMSoftwareClassesWow6432NodeTypeLib{C7405EEB-2E16-40FE-9E27-1F48CAAB15E1}1.0win32]

    puis clique sur moveIT

  • PETITESOURIS
    Nombre d'articles : 0

    Je crois que ça ne fonctionne pas.

    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!

    OTM by OldTimer – Version 3.1.21.0 log created on 02242015_200400

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    tu n’as pas bien pris avant les deux petits points devant “reg”

  • PETITESOURIS
    Nombre d'articles : 0

    Et voici :
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINESoftwareClassesP5a7d7148_cf98_430f_8689_45da9d208f50_.P5a7d7148_cf98_430f_8689_45da9d208f50_ not found.
    Registry key HKEY_LOCAL_MACHINESoftwareClassesP5a7d7148_cf98_430f_8689_45da9d208f50_.P5a7d7148_cf98_430f_8689_45da9d208f50_.9 not found.
    Registry key HKEY_LOCAL_MACHINESoftwareClassesTypeLib{C7405EEB-2E16-40FE-9E27-1F48CAAB15E1}1.0win32 not found.
    Registry key HKEY_LOCAL_MACHINESoftwareClassesWow6432NodeTypeLib{C7405EEB-2E16-40FE-9E27-1F48CAAB15E1}1.0win32 not found.

    OTM by OldTimer – Version 3.1.21.0 log created on 02242015_201410

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    refais seaf ?

  • PETITESOURIS
    Nombre d'articles : 0

    Voici les résultats. Il n’y a plus rien :

    1. ========================= SEAF 1.0.1.0 – C_XX
    2.
    3. Commencé à: 20:35:03 le 24/02/2015
    4.
    5. Valeur(s) recherchée(s):
    6. RoboSaveR
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) — Calcul du Hash “MD5”
    11. (!) — Informations supplémentaires
    12. (!) — Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21. Aucun élément dans le registre trouvé
    22.
    23. =========================
    24.
    25. Fin à: 20:36:10 le 24/02/2015
    26. 469720 Éléments analysés
    27.
    28. =========================
    29. E.O.F

    1. ========================= SEAF 1.0.1.0 – C_XX
    2.
    3. Commencé à: 20:38:15 le 24/02/2015
    4.
    5. Valeur(s) recherchée(s):
    6. bltSaveR
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) — Calcul du Hash “MD5”
    11. (!) — Informations supplémentaires
    12. (!) — Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21. Aucun élément dans le registre trouvé
    22.
    23. =========================
    24.
    25. Fin à: 20:39:21 le 24/02/2015
    26. 469722 Éléments analysés
    27.
    28. =========================
    29. E.O.F

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    là logiquement t’as plus rien

  • PETITESOURIS
    Nombre d'articles : 0

    Et bien un grand merci alors !!! :merci2:

    :content:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8422

    ben regarde lol !!! ^^ mdr

Le sujet ‘Malware : publicités NewSaver Ad’ est fermé à de nouvelles réponses.